UserAccountControl属性

我们都知道帐号有很多属性，那么我们是不是可以通过这些属性来控制帐号呢，或者通属性来查看这些帐号当前的状态呢。答案是肯定的。那么下面我们就来介绍下帐号常用的属性。
一、常见属性常见属性就是我们打开一个UserAccount，在“属性”页里能看到的属性，例如姓、名、显示名称、办公室号码等，这些属性是不需要使用特殊的工具打开，就可以直接进行修改的。那么具体有些属性呢？下面的列表将会详细说明，并做汉英的对比。

标签名称	AD属性的中文显示名称	AD属性的英文显示名称	AD属性的栏位名称
一般/General	姓	First name	sn
名	Last name	givenName
英文缩写	Initials	initials
显示名称	Display name	displayName
描述	description	description
办公室	Office	physicalDeliveryOfficeName
电话号码	Telephone Number	telephoneNumber
电子邮件	E-mail	mail
网页	Web page	wWWHomePage
地址/Address	国家/地区	Country/region	c
省/自治区	State/province	st
县/市	City	l
街道	Street	streetAddress
邮政编码	Zip/Postal Code	postalCode
邮政信箱	P.O. Box	postOfficeBox
账户/Account	用户登陆名	User logon name	userPrincipalName
用户登陆名(Windows 2000前版)	User logonname(pre-Windows 2000)	sAMAccountName
配置文件/Profile	配置文件路径	Profile path	profilePath
登录脚本	Logon script	scriptPath
主文件夹	Home folder	homeDirectory
电话/Telephones	家族电话	Home	homePhone
寻呼器	Pager	pager
移动电话	Mobile	mobile
传真	Fax	facsimileTelephoneNumber
IP电话	IP phone	ipPhone
注释	Notes	info
组织/Organization	职务	Title	title
部门	Department	department
公司	Company	company
经理	Manager	manager
直接属下	Direct report	directReports

二、UserAccountControl属性此属性必须使用特殊工具才能查看，可以使用 Ldp.exe 工具或 Adsiedit.msc 管理单元来查看和编辑这些属，在安装系统盘上Support Tools后可以使用。Ldp.exe显示的数值为十六进制，Adsiedit.msc显示的数值为十进制。由于上述两个工具都可以直接对Active Directory编辑，应该由经验丰富的管理员来使用这些工具编辑ActiveDirectory。当然，你也可以使用csvde.exe这类工具将帐号导出来进查看。如果需要定期的去检查这些帐号，可以将命令也BAT文件，让系统自动执行。

属性标志	十六进制	十进制
SCRIPT	0x0001	1
ACCOUNTDISABLE	0x0002	2
HOMEDIR_REQUIRED	0x0008	8
LOCKOUT	0x0010	16
PASSWD_NOTREQD	0x0020	32
PASSWD_CANT_CHANGE	0x0040	64
ENCRYPTED_TEXT_PWD_ALLOWED	0x0080	128
TEMP_DUPLICATE_ACCOUNT	0x0100	256
NORMAL_ACCOUNT	0x0200	512
INTERDOMAIN_TRUST_ACCOUNT	0x0800	2048
WORKSTATION_TRUST_ACCOUNT	0x1000	4096
SERVER_TRUST_ACCOUNT	0x2000	8192
DONT_EXPIRE_PASSWORD	0x10000	65536
MNS_LOGON_ACCOUNT	0x20000	131072
SMARTCARD_REQUIRED	0x40000	262144
TRUSTED_FOR_DELEGATION	0x80000	524288
NOT_DELEGATED	0x100000	1048576
USE_DES_KEY_ONLY	0x200000	2097152
DONT_REQ_PREAUTH	0x400000	4194304
PASSWORD_EXPIRED	0x800000	8388608
TRUSTED_TO_AUTH_FOR_DELEGATION	0x1000000	16777216

属性说明：
ØSCRIPT：将运行登陆脚本。ØACCOUNTDISABLE：禁用的用户帐。ØHOMEDIR_REQUIRED：帐号需要主文件夹。ØPASSWD_NOTREQD：帐号不需要密码。ØPASSWD_CANT_CHANGE：用户不能修改密码。此值不能直接修改。ØENCRYPTED_TEXT_PWD_ALLOWED：此帐户属于其主帐户位于另一个域中的用户。此帐户为用户提供访问该域的权限，但不提供访问信任该域的任何域的权限。有时将这种帐户称为“本地用户帐户”。ØNORMAL_ACCOUNT - 这是表示典型用户的默认帐户类型。ØINTERDOMAIN_TRUST_ACCOUNT - 对于信任其他域的系统域，此属性允许信任该系统域的帐户。ØWORKSTATION_TRUST_ACCOUNT - 这是运行Microsoft Windows NT 4.0 Workstation、Microsoft WindowsNT 4.0 Server、Microsoft Windows 2000 Professional 或 Windows 2000 Server 并且属于该域的计算机的计算机帐户。ØSERVER_TRUST_ACCOUNT - 这是属于该域的域控制器的计算机帐户。ØDONT_EXPIRE_PASSWD - 表示在该帐户上永远不会过期的密码。ØMNS_LOGON_ACCOUNT - 这是 MNS 登录帐户。ØSMARTCARD_REQUIRED - 设置此标志后，将强制用户使用智能卡登录。ØTRUSTED_FOR_DELEGATION - 设置此标志后，将信任运行服务的服务帐户（用户或计算机帐户）进行 Kerberos 委派。任何此类服务都可模拟请求该服务的客户端。若要允许服务进行Kerberos 委派，必须在服务帐户的userAccountControl 属性上设置此标志。ØNOT_DELEGATED - 设置此标志后，即使将服务帐户设置为信任其进行 Kerberos 委派，也不会将用户的安全上下文委派给该服务。ØUSE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) 将此用户限制为仅使用数据加密标准 (DES) 加密类型的密钥。ØDONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) 此帐户在登录时不需要进行 Kerberos 预先验证。ØPASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) 用户的密码已过期。ØTRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) 允许该帐户进行委派。这是一个与安全相关的设置。应严格控制启用此选项的帐户。此设置允许该帐户运行的服务冒充客户端的身份，并作为该用户接受网络上其他远程服务器的身份验证。如要将某个帐号设置为禁用状态，那么只需要将此号的userAccountControl 值设置为 0x0202(0x002 + 0x0200)。在十进制中，它是 514 (2 + 512)。

本文出自 “我的王朝” 博客，请务必保留此出处http://slyvester.blog.51cto.com/2082735/1199795